Interpretare lo schema dei log di accesso di Microsoft Entra in Monitoraggio di Azure
Questo articolo descrive lo schema di log di accesso di Microsoft Entra in Monitoraggio di Azure. Le informazioni relative agli accessi vengono fornite nell'attributo Properties dell'oggetto records .
{
"time": "2019-03-12T16:02:15.5522137Z",
"resourceId": "/tenants/<TENANT ID>/providers/Microsoft.aadiam",
"operationName": "Sign-in activity",
"operationVersion": "1.0",
"category": "SignInLogs",
"tenantId": "<TENANT ID>",
"resultType": "50140",
"resultSignature": "None",
"resultDescription": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in.",
"durationMs": 0,
"callerIpAddress": "<CALLER IP ADDRESS>",
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"identity": "Timothy Perkins",
"Level": 4,
"location": "US",
"properties":
{
"id": "0231f922-93fa-4005-bb11-b344eca03c01",
"createdDateTime": "2019-03-12T16:02:15.5522137+00:00",
"userDisplayName": "Timothy Perkins",
"userPrincipalName": "<USER PRINCIPAL NAME>",
"userId": "<USER ID>",
"appId": "<APPLICATION ID>",
"appDisplayName": "Azure Portal",
"ipAddress": "<IP ADDRESS>",
"status": {
"errorCode": 50140,
"failureReason": "This error occurred due to 'Keep me signed in' interrupt when the user was signing-in."
},
"clientAppUsed": "Browser",
"userAgent": "<USER AGENT>",
"deviceDetail":
{
"deviceId": "8bfcb982-6856-4402-924c-ada2486321cc",
"operatingSystem": "Windows 10",
"browser": "Chrome 72.0.3626"
},
"location":
{
"city": "Bellevue",
"state": "Washington",
"countryOrRegion": "US",
"geoCoordinates":
{
"latitude": 45,
"longitude": 122
}
},
"correlationId": "a75a10bd-c126-486b-9742-c03110d36262",
"conditionalAccessStatus": "notApplied",
"appliedConditionalAccessPolicies": [
{
"id": "ae11ffaa-9879-44e0-972c-7538fd5c4d1a",
"displayName": "HR app access policy",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "b915a70b-2eee-47b6-85b6-ff4f4a66256d",
"displayName": "MFA for all but global support access",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "830f27fa-67a8-461f-8791-635b7225caf1",
"displayName": "Header Based Application Control",
"enforcedGrantControls": [
"Mfa"
],
"enforcedSessionControls": [],
"result": "notApplied",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "8ed8d7f7-0a2e-437b-b512-9e47bed562e6",
"displayName": "MFA for everyones",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
},
{
"id": "52924e0f-798b-4afd-8c42-49055c7d6395",
"displayName": "Device compliant",
"enforcedGrantControls": [],
"enforcedSessionControls": [],
"result": "notEnabled",
"conditionsSatisfied": 0,
"conditionsNotSatisfied": 0
}
],
"originalRequestId": "f2f0a254-f831-43b9-bcb0-2646fb645c00",
"isInteractive": true,
"authenticationProcessingDetails": [
{
"key": "Login Hint Present",
"value": "True"
}
],
"networkLocationDetails": [],
"processingTimeInMilliseconds": 238,
"riskDetail": "none",
"riskLevelAggregated": "none",
"riskLevelDuringSignIn": "none",
"riskState": "none",
"riskEventTypes": [],
"riskEventTypes_v2": [],
"resourceDisplayName": "Office 365 SharePoint Online",
"resourceId": "00000003-0000-0ff1-ce00-000000000000",
"resourceTenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"homeTenantId": "<USER HOME TENANT ID>",
"tokenIssuerName": "",
"tokenIssuerType": "AzureAD",
"authenticationDetails": [
{
"authenticationStepDateTime": "2019-03-12T16:02:15.5522137+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "First factor requirement satisfied by claim in the token",
"authenticationStepRequirement": "Primary authentication",
"StatusSequence": 0,
"RequestSequence": 0
},
{
"authenticationStepDateTime": "2021-08-12T15:48:12.8677211+00:00",
"authenticationMethod": "Previously satisfied",
"succeeded": true,
"authenticationStepResultDetail": "MFA requirement satisfied by claim in the token",
"authenticationStepRequirement": "Multi-factor authentication"
}
],
"authenticationRequirementPolicies": [
{
"requirementProvider": "multiConditionalAccess",
"detail": "Conditional Access"
}
],
"authenticationRequirement": "multiFactorAuthentication",
"alternateSignInName": "<ALTERNATE SIGN IN>",
"signInIdentifier": "<SIGN IN IDENTIFIER>",
"servicePrincipalId": "",
"userType": "Member",
"flaggedForReview": false,
"isTenantRestricted": false,
"autonomousSystemNumber": 8000,
"crossTenantAccessType": "none",
"privateLinkDetails": {},
"ssoExtensionVersion": ""
}
}
Descrizioni dei campi
| Nome del campo | Chiave | Descrizione |
|---|---|---|
| Time | - | Data e ora in formato UTC. |
| ResourceId | - | Questo valore non è mappato, è quindi possibile ignorare questo campo. |
| OperationName | - | Per gli accessi, questo valore è sempre Attività di accesso. |
| OperationVersion | - | Versione dell'API REST richiesta dal client. |
| Categoria | - | Per gli accessi, questo valore è sempre Accesso. |
| TenantId | - | GUID del tenant associato ai log. |
| ResultType | - | Il risultato dell'operazione di accesso può essere 0 un errore o un codice di errore. |
| ResultSignature | - | Questo valore è sempre Nessuno. |
| ResultDescription | N/D o vuoto | Fornisce la descrizione dell'errore per l'operazione di accesso. |
| riskDetail | riskDetail | Fornisce il "motivo" dietro uno stato specifico di un utente rischioso, di accesso o di un rilevamento dei rischi. I valori possibili sono: none, adminGeneratedTemporaryPassworduserPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, adminConfirmedSigninCompromiseduserPassedMFADrivenByRiskBasedPolicyadminDismissedAllRiskForUser, . unknownFutureValue Il valore none indica che finora non è stata eseguita alcuna azione sull'utente o sull'accesso. Nota: i dettagli per questa proprietà richiedono una licenza microsoft Entra ID P2. Altre licenze restituiscono il valore hidden. |
| riskEventTypes | riskEventTypes | Tipi di rilevamento dei rischi associati all'accesso. I valori possibili sono: unlikelyTravel, anonymizedIPAddressmaliciousIPAddress, unfamiliarFeatures, malwareInfectedIPAddress, , suspiciousIPAddressgenericleakedCredentialsinvestigationsThreatIntelligencee .unknownFutureValue |
| authProcessingDetails | Azure Active Directory Authentication Library | Contiene informazioni su famiglia, libreria e piattaforma in formato: "Family: Microsoft Authentication Library: ADAL.JS 1.0.0 Platform: JS" |
| authProcessingDetails | IsCAEToken | I valori sono True o False |
| riskLevelAggregated | riskLevel | Livello di rischio aggregato. I valori possibili sono: none, low, mediumhigh, , hiddene unknownFutureValue. Il valore hidden indica che l'utente o l'accesso non è stato abilitato per Microsoft Entra ID Protection. Nota: i dettagli per questa proprietà sono disponibili solo per i clienti Microsoft Entra ID P2. Tutti gli altri clienti verranno restituiti hidden. |
| riskLevelDuringSignIn | riskLevel | Livello di rischio durante l'accesso. I valori possibili sono: none, low, mediumhigh, , hiddene unknownFutureValue. Il valore hidden indica che l'utente o l'accesso non è stato abilitato per Microsoft Entra ID Protection. Nota: i dettagli per questa proprietà sono disponibili solo per i clienti Microsoft Entra ID P2. Tutti gli altri clienti verranno restituiti hidden. |
| riskState | riskState | Segnala lo stato dell'utente rischioso, dell'accesso o di un rilevamento dei rischi. I valori possibili sono: none, confirmedSafe, remediateddismissed, atRisk, , confirmedCompromised, . unknownFutureValue |
| DurationMs | - | Questo valore non è mappato, è quindi possibile ignorare questo campo. |
| CallerIpAddress | - | Indirizzo IP del client che ha eseguito la richiesta. |
| CorrelationId | - | GUID facoltativo passato dal client. Questo valore consente di correlare le operazioni lato client con le operazioni lato server ed è utile durante l'analisi dei log che si estendono tra i servizi. |
| Identità | - | Identità del token presentato al momento dell'esecuzione della richiesta. Può essere un account utente, un account di sistema o un'entità servizio. |
| Livello | - | Fornisce il tipo di messaggio. Per il controllo, è sempre Informativo. |
| Ubicazione | - | Fornisce il percorso dell'attività di accesso. |
| Proprietà | - | Elenca tutte le proprietà associate agli accessi. |
| ResultType | - | Contiene il codice di errore di Microsoft Entra per l'evento di accesso (se è presente un codice di errore). |